Tips & Tricks: アプリケーション オーバーライドの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Tips & Tricks: How to Create an Application Override
https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-...

 

アプリケーション オーバーライドとは?

アプリケーション オーバーライドは、Palo Alto Networks ファイアウォールを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。アプリケーション オーバーライド ポリシーが有効になると、すぐにそのトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。

 

使用例

あなたはアプリケーション識別を上書きする必要がある理由を尋ねるかもしれません。場合によって、顧客固有のニーズに対応する独自のカスタム アプリケーションを作成する場合があります。これらのアプリケーションでは、ファイアウォールがトラフィックの動作を認識し、既知のアプリケーションとして適切に識別するためのシグネチャがない場合があります。このような場合は、識別やレポートを簡単にし混乱を避けるためのアプリケーション オーバーライドを作成することをお勧めします。

 

アプリケーション オーバーライドを使用する典型的なシナリオを見てみましょう。例えば、TCP ポート 23を使用する独自のアプリケーションがあったとします。しかしファイアウォールを通過するトラフィックが"temenos-t24"と誤判定されることで混乱する場合は、トラフィックを正しく識別するためにアプリケーション オーバーライドを実装することができます。

 

セットアップに必要なもの
アプリケーション オーバーライドを設定するには、WebUIで、Policies > アプリケーション オーバーライド に移動します。設定には次のものが必要となります:

  • アプリケーション オーバーライド ポリシーで使用するカスタム アプリケーション(推奨)
  • アプリケーション オーバーライド ポリシー
  • 新しく作成されたカスタム アプリケーションを許可するセキュリティ ポリシー

手順

TCP ポート 23を使用するTelnetのための新しいカスタム アプリケーションを設定する:

  1. 当該トラフィックに対して新しいカスタム アプリケーションを作成します。WebUIで、Objects > アプリケーション に移動し、左下の"追加"をクリックします。
    2015-10-05 tnt 1.jpg

  2. アプリケーションに名前をつけます(この場合、既に使用されているTelnet以外のもの)。この例では"Telnet_Override"を名前として使用します。またカテゴリ、サブカテゴリ、テクノロジの値を選択します。
    2015-10-05 tnt 2.jpg

  3. オプション手順: これは必須ではない別のレイヤーまたは詳細を追加するものです。
    詳細 > デフォルト に進み、ポートを選択し、アプリケーションのポートを一覧表示します。
    この例ではTCP ポート 23が表示されています:
    2015-10-05 tnt 3.jpg
    パラメータとして"ポート"を選択した後、"追加"をクリックし、必要に応じて例のようにプロトコルとポートを入力します。この例ではシグネチャは必要ないため、このカスタム アプリケーションの作成を完了するために"OK"をクリックします。

  4. アプリケーション オーバーライド ポリシーを作成するために、Policies > アプリケーション オーバーライドに移動し、"追加"をクリックします:
    2015-10-05 tnt 4.jpg

  5. "全般"タブでポリシーの名前を入力します。この例では"Telnet_Override"を使用します。
    2015-10-05 tnt 5.png

  6. "送信元"に移動し、送信元ゾーンを追加します。送信元が静的の場合は送信元アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。
    2015-10-05 tnt 6.png

  7. "宛先に"に移動し、宛先ゾーンを追加します。宛先が静的の場合は宛先アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。
    2015-10-05 tnt 7.png

  8. プロトコル/アプリケーションに移動し、プロトコルを選択してからポート番号を入力し、作成したカスタム アプリケーションを選択します。
    2015-10-05 tnt 8.png

独自のアプリケーションを使って作成したアプリケーション オーバーライドが正しく動作することの確認

 

この新しいアプリケーションがファイアウォールを通過することを許可するためのセキュリティ ポリシーを作成するか、既存のルールを変更します。

 

  1. 新しいルールを作成するには、Policies > セキュリティ に移動し、左下の"追加"をクリックします。トラフィックがカスタム アプリケーションを使用して通過するゾーンのセキュリティ ポリシーを作成します。サービスで使用されるポートを指定します。全ての新しいセッションは新しいカスタム アプリケーションで検出され、トラフィックは許可されます。
    2015-10-05 tnt 9.jpg

  2. コミットを実行し、テストします。前述のようにトラフィックは"telnet"や"temenos-t24"の代わりに、Telnet_Override"を使用する必要があります。

  3. ポリシーの変更を反映するためにコミットを実行した後、CLIで以下のコマンドを実行し、セッションの詳細を表示します。
    > show session all filter application Telnet_Override